La mayoría de personas han oído hablar del phishing,, pero el vishing es un tipo de ataque diferente que también forma parte de la misma familia y que comparte los mismos objetivos:
Los atacantes que utilizan vishing utilizan números de teléfono falsos, programas de modificación de voz, mensajes de texto y técnicas de manipulación social para engañar a los usuarios y conseguir información sensible.
Por lo general, el vishing se basa en el uso de la voz para engañar a las víctimas, a diferencia del smishing, que utiliza mensajes de texto (SMS) ya menudo se combina con llamadas telefónicas según las técnicas del atacante.
¿Cuál es la diferencia entre vishing y phishing?
El phishing, y el vishing tienen el mismo objetivo: obtener datos sensibles de los usuarios que pueden utilizarse para robo de identidad, ganancia económica o control de cuentas.
La principal diferencia entre el phishing, y el vishing es el medio que se utiliza para atacar a las víctimas potenciales.
Mientras que el phishing, es principalmente un ataque basado en correos electrónicos, el vishing utiliza la voz, habitualmente mediante llamadas al número de teléfono móvil del usuario. Los atacantes de phishing, envían un gran número de correos electrónicos a una lista de posibles objetivos. Si el ataque se dirige a una organización específica, sólo se utilizará una lista de correos electrónicos de usuarios con privilegios elevados de esa organización.
Los phishers a menudo utilizan mensajes de correo electrónico persuasivos para engañar a los usuarios para que respondan con información sensible o hagan clic en un enlace que contiene software malicioso. Algunos ataques de phishing, también incluyen adjuntos maliciosos. Los atacantes de vishing pueden enviar mensajes de texto a las víctimas potenciales desde una larga lista de números de teléfono, pidiendo que hagan una llamada al número del atacante.
Otra técnica de vishing es crear mensajes automatizados y realizar llamadas automáticas masivas a las víctimas. Se utilizan voces generadas por ordenador para eliminar acentos y ganarse la confianza del usuario. conecte con un agente humano que continúa con la estafa o pedirle que abra un sitio web controlado por el atacante.
Aunque existen diferencias menores entre el vishing y el phishing,, el objetivo final siempre es el mismo: obtener credenciales, datos personales identificables e información financiera. Los usuarios que están familiarizados con el phishing, pueden no estarlo con el vishing, lo que aumenta las posibilidades de éxito de los atacantes.
¿Cuál es la diferencia entre vishing y smishing?
El Smishing es un ataque de phishing, estrechamente relacionado que también utiliza números de teléfono móvil, pero en lugar de mensajes de voz, utiliza mensajes de texto para engañar a los usuarios. Estos mensajes pueden contener un número de teléfono para que el usuario contacte o un enlace a un sitio web controlado por el atacante que aloja software malicioso o una página de phishing,. El smishing se basa principalmente en la confianza que los usuarios tienen en sus mensajes de texto. Estos mensajes suelen prometer premios, cupones o amenazan con cancelar cuentas si el usuario no autentica y restablece las credenciales. Dado que los mensajes de texto suelen ser más informales, las víctimas pueden confiar más en un SMS que en un correo electrónico sospechoso.
Existe una gran superposición entre el smishing y el vishing. Un ataque de vishing puede empezar con un mensaje de texto que contiene un número de teléfono, pero también puede incluir mensajes automatizados y llamadas robóticas. El smishing puede incluir un número de teléfono en un mensaje de texto, pero muchos ataques se centran principalmente en engañar a los usuarios para que hagan clic en enlaces y abran una página web maliciosa.
Ejemplo de ataque de vishing
Los estafadores utilizan tácticas de miedo para convencer a los usuarios para que realicen una llamada. En este caso, el atacante se hace pasar por un agente de la Agencia Tributaria (IRS en Estados Unidos).
La mayoría de usuarios tienen miedo a las multas y penalizaciones de la Agencia Tributaria, por lo que aquellos que llaman al número proporcionado serán informados de que deben dinero. El atacante convence al usuario para que cargue el dinero a su cuenta o lo transfiera directamente desde su cuenta bancaria. Este tipo de estafas son muy comunes en Estados Unidos. Además, es importante tener en cuenta que los números mostrados en el identificador de llamadas suelen ser números cortos de 6 dígitos, que no son válidos como números de contacto. Estos números se utilizan a menudo por las operadoras de telecomunicaciones para enviar mensajes a los usuarios, pero también pueden indicar que el mensaje proviene de un API de marcación automática o de una cuenta de correo electrónico. Si un mensaje proviene de uno de estos números, es necesario estar siempre suspicaz y considerar que podría ser una estafa de smishing o vishing.
Sin embargo, no todos los mensajes con un número no válido en el identificador de llamadas son maliciosos. Estos números también se utilizan en las solicitudes de autenticación multifactorial cuando se envía un código PIN al usuario para completar el proceso de autenticación. Los atacantes que utilizan ingeniería social pueden intentar engañar a los usuarios para que envíen este código PIN, combinando así vishing, phishing, y smishing en ataques a gran escala contra cuentas de alto privilegio.
Entre los atacantes que utilizan llamadas telefónicas, se ha hecho más popular el uso de programas informáticos para modificar voces y acentos geográficos. Incluso pueden utilizar voces de otro género para lanzar un ataque. A menudo, estas voces son claramente generadas por ordenador y fáciles de identificar como intentos de vishing. Sin embargo, siempre es importante ser conscientes de las llamadas telefónicas que solicitan información privada.
Cómo prevenir el vishing
La mejor forma de evitar ser víctima de vishing es ignorar los mensajes sospechosos. , no se puede confiar totalmente en estas operadoras para interceptar todas las llamadas maliciosas. Los usuarios pueden tomar sus propias precauciones para evitar convertirse en víctimas.
Evita el intercambio de SIM y la ingeniería social: El intercambio de SIM implica engañar a un representante de telecomunicaciones para que dé al atacante acceso a tu número de teléfono. Si recibes un mensaje extraño sobre un código PIN de autenticación multifactorial o cambios en tu cuenta de móvil, siempre contacta con tu operadora para asegurarte de que no has sido víctima de un intercambio de SIM o secuestro de tu cuenta.
Algunos pasos para evitar ser víctima del vishing y ataques relacionados incluyen:
- Estar consciente del vishing: En organizaciones, educar a los usuarios ayuda a identificar ataques de vishing para que puedan ignorarlos e informar sobre ellos. A nivel individual, nunca des información privada a alguien que te contacte por mensaje de texto o llamada de voz. Una institución legítima te proporcionará un número principal para verificar que se trata de una llamada oficial.
- Identificar tácticas de presión y miedo: Los estafadores presionarán a las víctimas para que envíen dinero de inmediato, ya sea con tarjetas de crédito, transferencias bancarias o incluso tarjetas de regalo. Por ejemplo, una forma común de engañar a las víctimas con la estafa del IRS es amenazar con prisión si no se envía el dinero inmediatamente.
- Ignorar llamadas de números desconocidos: Si no reconoces el número, deja que la llamada vaya al buzón de voz.
Ser escéptico con cualquier llamada que solicite información sensible: Nunca proporciones información sensible por teléfono, independientemente de dónde digan trabajar los interlocutores.
Siguiendo estas pautas, puedes protegerte mejor contra los ataques de vishing, phishing, y smishing.